-
-
[原创]关于人人网WAP验证漏洞
-
发表于:
2010-7-23 13:21
3895
-
今天在幻影旅团上有人公布了这个漏洞:
http://xeyeteam.appspot.com/2010/07/22/renren-wap-authentication-token-steal.html
这个漏洞其实就是我之前在博客及看雪上提到的,见这:
http://riusksk.blogbus.com/logs/66056956.html
或者这里:
http://bbs.pediy.com/showthread.php?t=115128
当初发现这个漏洞纯属意外,因为这个token是需要通过referer盗取,比如以下代码就可获取referer:
<?php
$referer = (!empty($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : 'Unspecified';
echo htmlspecialchars("$referer");
?>
而刚好trojancyborg同学先浏览了他的人人网wap主页,估计是用手机上的,然后再转到 我的博客,这样他的referer就没记录在博客大巴的管理中心里面的访问来源里,其中就包含有这个认证token,它可直接通过url提交绕过身份验 证,即url authentication token。访问URL格式如下:
http://3g.renren.com/profile.do?id=263,*63,**2&sid=5437ce***3c0d5d1457*****85f6f3e32&9agldk&htf=2 (为安全起见,用*号过滤掉)
这 个也可以结合XSS来盗取referer,正如盗取cookie一样,只是比用cookie更方便一些,毕竟它直接通过URL即可获取对方主页的管理权限 了。但也需要一定的运气,对方得从人人网的wap页面中跳转过来才行。如果大伙有什么更好的盗取方式,希望告之一下!当时在trojancyborg同学主页上发了篇日志,恶搞一下,还好他大人有大量,没找俺麻烦,呵呵……
对于这种漏洞的防御方法 ,正如余弦大牛在paper中所说的:使用cookie认证方式(可惜哥的破手机N3100不支持cookie),或者过滤一切可获取referer的对象,比如:
▪ html tags: img/iframe/a/area/…
▪ css styles: background:url()/@import/moz‐binding/…
[课程]FART 脱壳王!加量不加价!FART作者讲授!
一直在用Nokia的3100 = =!一次wap网页没访问过。。。悲剧!其实LZ3100真的挺抗用的,信号强,抗震,抗摔,抗用!价格低廉!
